Métamorph'oseMétamorph'ose

Politique de confidentialité

Politique de confidentialité

Introduction

La présente politique décrit la manière dont Clament (« Métamorph'ose ») traite les données personnelles, conformément au Règlement Général sur la Protection des Données (Règlement UE 2016/679, « RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »).

Selon les traitements concernés, Métamorph'ose agit soit en tant que responsable de traitement, soit en tant que sous-traitant. Les deux situations sont distinguées ci-dessous.

Partie A : Métamorph'ose, responsable de traitement

Métamorph'ose est responsable de traitement pour les données qu'elle collecte et détermine pour son propre compte : comptes des professionnels, prospects, visiteurs du site et facturation des abonnements.

DonnéesFinalitéBase légale
Identité et coordonnées du professionnel (nom, email, téléphone)Création et gestion du compte professionnelExécution du contrat
Données de facturation de l'abonnementFacturation et obligations comptablesObligation légale
Coordonnées des prospects / leadsRéponse aux demandes commercialesConsentement / intérêt légitime
Données de navigation des visiteursSécurité et mesure d'audience sans cookieIntérêt légitime

Partie B : Métamorph'ose, sous-traitant

Pour les données des sportifs (clients des professionnels), c'est le professionnel (coach, kinésithérapeute, diététicien) qui est responsable de traitement. Métamorph'ose agit en qualité de sous-traitant au sens de l'article 28 du RGPD : elle traite ces données uniquement sur instruction du professionnel et pour les besoins de la plateforme. Cette relation est encadrée par un accord de sous-traitance conclu entre Métamorph'ose et le professionnel.

Données de santé (Article 9 du RGPD)

La plateforme peut amener à traiter des données de santé, qui constituent une catégorie particulière de données au sens de l'Article 9 du RGPD. Il s'agit notamment :

  • du journal de douleur,
  • des check-ins de bien-être,
  • des données physiologiques et de suivi du cycle,
  • des données de suivi kinésithérapique.

Base légale : le consentement explicite de la personne concernée (article 9.2.a du RGPD). Ce consentement est recueilli au sein de l'application, via une modale dédiée, préalablement à tout traitement de données de santé. Le sportif peut retirer son consentement à tout moment, ce retrait n'affectant pas la licéité des traitements antérieurs.

Fonctionnalités de santé à usage professionnel : en cours de développement. Les fonctionnalités impliquant un professionnel de santé (notamment l'espace kinésithérapeute) et le traitement de données de santé dans un cadre de soin sont en cours de développement et ne sont pas encore ouvertes à un usage de soin en production. À ce stade, la Plateforme s'inscrit dans un cadre de bien-être et de coaching sportif, et non de soin médical. Les données ne sont pas hébergées sur une infrastructure certifiée Hébergeur de Données de Santé (HDS) ; la mise en conformité HDS est prévue préalablement à l'ouverture de ces fonctionnalités. Aucune donnée de santé relevant d'un usage de soin ne doit être déposée sur la Plateforme avant cette mise en conformité.

Durées de conservation

  • Données de compte : durée de la relation contractuelle, puis archivage intermédiaire selon les obligations applicables.
  • Données de santé : conservées le temps du suivi, puis supprimées ou anonymisées sur retrait du consentement ou fin du suivi.
  • Données de facturation : 10 ans (obligation comptable).
  • Journaux techniques (logs) : 12 mois maximum.

Destinataires et sous-traitants

Les données peuvent être traitées par les sous-traitants techniques suivants :

Sous-traitantRôleLocalisation / garanties
SupabaseBase de données, authentification, stockage (données personnelles et de santé)Région Union Européenne
StripePaiement des abonnements des professionnelsEU-US Data Privacy Framework
IONOSEnvoi des emails transactionnels (SMTP)Union Européenne
VercelHébergement du front et mesure d'audience (Vercel Analytics, sans cookie)Hébergement, transfert encadré

Transferts hors Union Européenne

Les données sont prioritairement hébergées au sein de l'Union Européenne. Lorsqu'un transfert hors UE est nécessaire (par exemple Stripe ou Vercel), il est encadré par des garanties appropriées : décision d'adéquation, EU-US Data Privacy Framework ou clauses contractuelles types de la Commission européenne.

Sécurité

Métamorph'ose met en œuvre des mesures techniques et organisationnelles appropriées : chiffrement des données en transit (TLS), chiffrement au repos, cloisonnement des accès par règles de sécurité au niveau base de données (Row Level Security), et sauvegardes régulières.

Vos droits

Conformément au RGPD, vous disposez des droits d'accès, de rectification, d'effacement, de portabilité, d'opposition, de limitation du traitement et de retrait du consentement.

Pour exercer ces droits, contactez-nous à : contact@metamorphose.care. Lorsque Métamorph'ose agit en tant que sous-traitant (données des sportifs), la demande est, le cas échéant, transmise au professionnel responsable de traitement.

Vous pouvez également introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr.

Mineurs

La plateforme n'est pas destinée aux personnes de moins de 16 ans sans le consentement du titulaire de l'autorité parentale. Aucune donnée de mineur n'est sciemment collectée en dehors de ce cadre.

Cookies

L'usage des cookies et traceurs est détaillé dans notre Politique relative aux cookies.

Modifications

La présente politique peut être modifiée. Toute évolution sera publiée sur cette page avec une date de mise à jour actualisée.

Dernière mise à jour : 11/07/2026